ファイアウォール †
Security Group †
- 無料で利用可
- インスタンス単位で設定するファイアウォール機能
defaultの通信設定 †
- インバウンド :すべて拒否
- アウトバウンド:すべて許可
- セキュリティグループは定義した通信のみを許可する「ホワイトリスト形式」
Network ACL †
- 無料で利用可
- サブネット単位で全インスタンスに適用するファイアウォール機能
defaultの通信設定 †
- インバウンド :すべて許可
- アウトバウンド:すべて許可
- ネットワークACLは定義した通信のみを拒否する「ブラックリスト形式」
AWS Network Firewall †
- スケーラブルでマネージド
- ステートレスなパケットフィルタリング (プロトコル、送信元IP/ポート、送信先IP/ポート)=行きも戻りも許可が必要
- ステートフルなパケットフィルタリング (プロトコル、送信元IP/ポート、送信先IP/ポート)
- ドメインリストを基にしたHTTP/HTTPSのアクセス制御
- オープンソースの IPS 「Suricata」 互換のルールでの制御
Route 53 Resolver DNS Firewall †
- VPCのアウトバウンドDNSクエリをDNS Firewallのルールグループを使用してDNSクエリをフィルタリングできます。
- ルールグループはカスタムすることも出来るし、AWSマネージドなリストを使うことも可能です。
- EC2でSquidを利用したプロキシサーバを構築する方法もありますが、特定の宛先だけしか通信させたく無いようなVPCを作成したい時に非常に効果的と思います。
![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
